xss страница 2 | Сказка

По всем вопросам обращайтесь на наш Discord сервер.
Лор игры открыт под свободной лицензией.
Исходный код игры доступен на GitHub.

Мы безмерно благодарны каждому из вас за время, которое вы подарили нашей игре, истории, которые вы создали, поддержку, которую оказывали друг другу и нам.

Надеемся, Сказка останется светлым и добрым воспоминанием в вашей жизни, и вы будете вспоминать наши приключения с улыбкой.

Это были замечательные тринадцать лет. Спасибо вам за них.

С любовью, команда Сказки.

правила форума

br3t	#16 в начало ⇑
без гильдии могущество: 5 женщина Светлозара 53 уровня	Скрипт внедрить вполне удалось: вставьте в любой падеж, кроме именительного, после имени <script>alert(document.cookie)</script> и потом смотрите журнал И, скорее всего, я могу добавить скармливание кук снифферу, засунуть скрипт во все падежи и через арену запустить его в чужом браузере.

br3t

#16

в начало ⇑

без гильдии
могущество: 5

женщина Светлозара
53 уровня

Скрипт внедрить вполне удалось: вставьте в любой падеж, кроме именительного, после имени <script>alert(document.cookie)</script> и потом смотрите журнал
И, скорее всего, я могу добавить скармливание кук снифферу, засунуть скрипт во все падежи и через арену запустить его в чужом браузере.

Дарклидер	#17 в начало ⇑
[^_^] Рекрут могущество: 562 эльф Гудлауг 46 уровня	Светозара, палишсо.

red_led	#18 в начало ⇑
без гильдии могущество: 704 эльф Любомир 89 уровня	через арену Бинго. Кто-нибудь уже проверил?)

Silent Wrangler	#19 в начало ⇑
[ϟ] Командор могущество: 17420 длань судьбы гоблин Наивеличайший Выдумщик Генджис 131 уровня	Скрипт внедрить вполне удалось: вставьте в любой падеж, кроме именительного, т.е. мы его сами вставить должны? Это же бред. Эти поля, друг мой существуют только на вкладке, отсутствующей для всех, кроме владельца. И кто будет вставлять себе этот скрипт?

Silent Wrangler

#19

в начало ⇑

[ϟ] Командор
могущество: 17420
длань судьбы
гоблин
Наивеличайший Выдумщик Генджис
131 уровня

Скрипт внедрить
вполне удалось:
вставьте в любой
падеж, кроме
именительного,

т.е. мы его сами вставить должны? Это же бред. Эти поля, друг мой существуют только на вкладке, отсутствующей для всех, кроме владельца. И кто будет вставлять себе этот скрипт?

Migel	#20 в начало ⇑
без гильдии могущество: 9495 длань судьбы орк Yellow Horror 199 уровня	Silent Wrangler Это же бред. Эти поля, друг мой существуют только на вкладке, отсутствующей для всех, кроме владельца. Я же давно сказал - нужно проверить на арене. Но уже то, что скрипт вообще где-то запускается, желательно исправить. Мало ли, где ещё в будущем будут фигурировать склоняемые имена героев. Вообще говоря, баг классический: отсутствие проверки помещаемых в поле данных на соответствие их предназначению. Мелкософт на таком каждый месяц заново палится ;)

Migel

#20

в начало ⇑

без гильдии
могущество: 9495
длань судьбы
орк Yellow Horror
199 уровня

Silent Wrangler

Это же бред. Эти поля, друг мой существуют только на вкладке, отсутствующей для всех, кроме владельца.

Я же давно сказал - нужно проверить на арене. Но уже то, что скрипт вообще где-то запускается, желательно исправить. Мало ли, где ещё в будущем будут фигурировать склоняемые имена героев.

Вообще говоря, баг классический: отсутствие проверки помещаемых в поле данных на соответствие их предназначению. Мелкософт на таком каждый месяц заново палится ;)

br3t	#21 в начало ⇑
без гильдии могущество: 5 женщина Светлозара 53 уровня	Silent Wrangler, проблема в том, что я вставлю скрипт себе и сработает он в вашем браузере Пусть экспериментируют те, кто не боится Запрещается использование ошибок в игре с целью получения преимущества над другими игроками (а так же с любой другой целью); Да, главную куку, отвечающую за логин в игре, украсть не получиться, но можно сделать перенаправление на внешне идентичную страницу с предложением залогниться на ней. Кто сходу заметит, что у неё адрес http://tne-tale.org ?

br3t

#21

в начало ⇑

без гильдии
могущество: 5

женщина Светлозара
53 уровня

Silent Wrangler,
проблема в том, что я вставлю скрипт себе и сработает он в вашем браузере

Пусть экспериментируют те, кто не боится

Запрещается использование ошибок в игре с целью получения преимущества над другими игроками (а так же с любой другой целью);

Да, главную куку, отвечающую за логин в игре, украсть не получиться, но можно сделать перенаправление на внешне идентичную страницу с предложением залогниться на ней. Кто сходу заметит, что у неё адрес http://tne-tale.org ?

Дарклидер	#22 в начало ⇑
[^_^] Рекрут могущество: 562 эльф Гудлауг 46 уровня	Digest авторизация? Сообщение изменено

red_led	#23 в начало ⇑
без гильдии могущество: 704 эльф Любомир 89 уровня	Ещё можно рандомайзить csrftoken, чтобы противник не мог повлиять на бой

Tiendil	#24 в начало ⇑
[НБ] Магистр могущество: 14696 разработчик дварф Халлр 106 уровня	Фильтрации тегов действительно нет, спасибо за сообщение.

Tiendil	#25 в начало ⇑
[НБ] Магистр могущество: 14696 разработчик дварф Халлр 106 уровня	Эксперименты прошу остановить, дабы никого не провацировать.

Дарклидер	#26 в начало ⇑
[^_^] Рекрут могущество: 562 эльф Гудлауг 46 уровня	спойлер jQuery.globalEval = function() {}; jQuery.ajaxSetup({ dataType: 'text', async: true, cache: false });

br3t	#27 в начало ⇑
без гильдии могущество: 5 женщина Светлозара 53 уровня	Tiendil, так и не пофиксили? В именительном падеже, кстати, в журнале тоже не фильтруется HTML в имени

Tiendil	#28 в начало ⇑
[НБ] Магистр могущество: 14696 разработчик дварф Халлр 106 уровня	Будет исправлено в ближайшем обновлении.

br3t	#29 в начало ⇑
без гильдии могущество: 5 женщина Светлозара 53 уровня	Так, обновление наконец приехало, правда, моя Светлозара превратилась в Светиславу, но и на том спасибо.

правила форума